Den Europæiske Ombudsmand har —

under henvisning til

(1) Europa-Parlamentets og Rådets forordning (EU) 2018/1725 af 23. oktober 2018 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer og om fri udveksling af sådanne oplysninger og om ophævelse af forordning (EF) nr. 45/2001 og afgørelse nr. 1247/2002/EF ("forordningen")^[1], særlig artikel 45, stk. 3,

(2) Den Europæiske Tilsynsførende for Databeskyttelses (EDPS') holdningsdokument om databeskyttelsesansvarliges rolle i EU-institutionerne og -organerne —

vedtaget denne afgørelse:

Artikel 1 Udpegelse af den databeskyttelsesansvarlige

1. Den Europæiske Ombudsmand udpeger en databeskyttelsesansvarlig (DPO) blandt medarbejderne ved Den Europæiske Ombudsmand på grundlag af personlige og faglige kvalifikationer, navnlig ekspertise inden for databeskyttelseslovgivning og -praksis samt evnen til at udføre opgaverne. En stedfortrædende databeskyttelsesansvarlig kan udpeges efter høring af den databeskyttelsesansvarlige^[2]. Den databeskyttelsesansvarlige kan have assisterende medarbejdere.

2. Den databeskyttelsesansvarlige udnævnes for en periode på fem år og kan genudnævnes.

3. Den databeskyttelsesansvarliges kontaktoplysninger meddeles til EDPS og offentliggøres på Den Europæiske Ombudsmands websted.

4. En databeskyttelsesansvarlig, som ikke længere opfylder de krav, der stilles for udførelsen af vedkommendes opgaver, kan kun afskediges af Den Europæiske Ombudsmand med EDPS' samtykke. Den Europæiske Ombudsmand fastslår, at den databeskyttelsesansvarlige ikke længere opfylder disse krav efter forslag fra generalsekretæren. Med henblik på at opnå EDPS's samtykke til en sådan afskedigelse i henhold til forordningens artikel 44, stk. 8, høres EDPS skriftligt. En kopi af dette samtykke sendes til den databeskyttelsesansvarlige.

Artikel 2 Den databeskyttelsesansvarliges status

1. Den databeskyttelsesansvarlige rapporterer til generalsekretæren for Den Europæiske Ombudsmand.

2. Den databeskyttelsesansvarlige handler uafhængigt, jf. dog stk. 1. Den databeskyttelsesansvarlige må ikke modtage instrukser vedrørende udførelsen af sine opgaver eller blive afskediget eller straffet for at udføre disse opgaver.

3. Den Europæiske Ombudsmand sikrer, at:

(a) den databeskyttelsesansvarlige inddrages tilstrækkeligt og rettidigt i alle spørgsmål vedrørende databeskyttelse

(b) den databeskyttelsesansvarlige har tid og ressourcer til at udføre sine opgaver og vedligeholde sin ekspertise

(c) der ingen interessekonflikt er mellem den databeskyttelsesansvarliges opgaver og pligter som sådan og eventuelle andre officielle opgaver og pligter, som vedkommende måtte varetage.

4. den databeskyttelsesansvarlige og dennes assistenter er underlagt tavshedspligt eller fortrolighed vedrørende udførelsen af deres opgaver i overensstemmelse med EU-retten.

Artikel 3 Den databeskyttelsesansvarliges opgaver, pligter og beføjelser

1. Den databeskyttelsesansvarlige underretter og rådgiver Den Europæiske Ombudsmand om institutionens forpligtelser i henhold til forordningen og andre EU-databeskyttelsesbestemmelser.

2. Den databeskyttelsesansvarlige sikrer på en uafhængig måde den interne anvendelse af forordningen og overvåger overholdelsen af forordningen og anden gældende EU-ret, der indeholder bestemmelser om databeskyttelse, og af Den Europæiske Ombudsmands politikker vedrørende beskyttelse af personoplysninger, herunder tildeling af ansvar, bevidstgørelse og uddannelse af personale, der er involveret i behandlingsaktiviteter, og de tilhørende revisioner.

3. Den databeskyttelsesansvarlige sikrer, at de registrerede underrettes om deres rettigheder og forpligtelser i henhold til forordningen.

4. Den databeskyttelsesansvarlige yder på anmodning rådgivning om nødvendigheden af

(a) en underretning af EDPS og/eller en meddelelse til den registrerede om brud på persondatasikkerheden

(b) en konsekvensanalyse vedrørende databeskyttelse, overvågning af resultaterne og høring af EDPS i tilfælde af tvivl om, hvorvidt der er behov for en konsekvensanalyse vedrørende databeskyttelse

(c) en forudgående høring af EDPS og en høring af EDPS i tilfælde af tvivl om, hvorvidt der er behov for en forudgående høring.

5. Den databeskyttelsesansvarlige besvarer anmodninger fra EDPS og samarbejder inden for rammerne af sin kompetence med EDPS på dennes anmodning eller på eget initiativ.

6. Den databeskyttelsesansvarlige sikrer, at den registreredes rettigheder og frihedsrettigheder ikke påvirkes negativt af behandlingsaktiviteter, som Den Europæiske Ombudsmand er den dataansvarlige for.

7. Den databeskyttelsesansvarlige fører et centralt register over behandlingsaktiviteter og brud på persondatasikkerheden under Den Europæiske Ombudsmands ansvar. Den databeskyttelsesansvarlige sikrer, at registret over behandlingsaktiviteter er offentligt tilgængeligt, også elektronisk. Den Europæiske Ombudsmands register over behandlingsaktiviteter stilles efter anmodning til rådighed for EDPS.

8. Den Europæiske Ombudsmand, personaleudvalget og enhver fysisk person kan uden at gå gennem de officielle kanaler høre den databeskyttelsesansvarlige om spørgsmål vedrørende fortolkningen eller anvendelsen af forordningen, i det omfang den vedrører databehandlingsaktiviteter, som Den Europæiske Ombudsmand er den dataansvarlige for. Den databeskyttelsesansvarlige leverer så vidt muligt oplysninger, der er forståelige uden specialviden.

9. Den databeskyttelsesansvarlige kan fremsætte henstillinger til Den Europæiske Ombudsmand om, hvordan databeskyttelsen kan forbedres i praksis, og rådgive om spørgsmål vedrørende anvendelsen af databeskyttelsesbestemmelserne på databehandlingsaktiviteter, som Ombudsmanden er den dataansvarlige for.

10. Den databeskyttelsesansvarlige kan på eget initiativ eller efter anmodning fra Den Europæiske Ombudsmand, generalsekretæren, personaleudvalget eller enhver fysisk person iværksætte undersøgelser om anliggender og forhold, der har direkte tilknytning til vedkommendes opgaver, og aflægger rapport til den person, der har anmodet om undersøgelsen, eller til Den Europæiske Ombudsmand. Sådanne undersøgelser skal overholde princippet om rimelighed og de involverede personers ret til at udtale sig om forhold, der vedrører dem.

11. Registrerede kan kontakte den databeskyttelsesansvarlige for så vidt angår alle spørgsmål vedrørende behandlingen af deres personoplysninger og udøvelsen af deres rettigheder.

12. Ingen må lide skade som følge af at have gjort den databeskyttelsesansvarlige opmærksom på en sag om påstået overtrædelse af bestemmelserne i denne forordning.

13. Den databeskyttelsesansvarlige har under udførelsen af sine opgaver til enhver tid adgang til de oplysninger, der er genstand for behandlingsaktiviteter, og til alle kontorer, databehandlingsanlæg og databærere.

14. Den databeskyttelsesansvarlige kan ved udførelsen af sine opgaver i forbindelse med behandlingsaktiviteter, der udføres af en anden EU-institution eller et andet EU-organ på vegne af Den Europæiske Ombudsmand, samarbejde med den databeskyttelsesansvarlige i den pågældende institution eller det pågældende organ.

Artikel 4 Ikrafttrædelse

Denne afgørelse træder i kraft på dagen for vedtagelsen.

Udfærdiget i Strasbourg, den 9. oktober 2019

Emily O’Reilly

[1] EUT L 295 af 21.11.2018, s. 39.

[2] Hvis der udpeges en stedfortrædende databeskyttelsesansvarlig i henhold til denne procedure, forstås der ved "databeskyttelsesansvarlig" både den databeskyttelsesansvarlige og den stedfortrædende databeskyttelsesansvarlige.